Adobe セキュリティ速報

Magento に関するセキュリティアップデート公開 | APSB21-30

情報 ID

公開日

優先度

ASPB30-21

2021年5月11日      

2

要約

この脆弱性が悪用されると、制限されたリソースへの不正アクセスにつながる可能性があります。Magento は Magento Commerce および Magento Open Source エディションのアップデートを公開しました。これらのアップデートにより、重要およびクリティカルに分類される脆弱性を解決します。この脆弱性が悪用されると、任意のコードが実行されるおそれがあります。    

対象のバージョン

製品名 バージョン プラットフォーム

Magento Commerce 
2.4.2 とそれ以前のバージョン  
すべて
2.4.1-p1 以前のバージョン  
すべて
2.3.6-p1 以前のバージョン 
すべて
Magento オープンソース 

2.4.2 とそれ以前のバージョン
すべて
2.4.1-p1 以前のバージョン
すべて
2.3.6-p1 以前のバージョン 
すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデート後のバージョン プラットフォーム 優先度評価 リリースノート
Magento Commerce 2.4.2-p1
すべて
2

2.4.x リリースノート

2.3.x リリースノート

2.3.7 すべて
2
Magento オープンソース 
2.4.2-p1
すべて 2
2.3.7 すべて
2

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 事前認証? 管理者権限が必要ですか?

Magento Bug ID CVE 番号
情報漏えい 
ドキュメントルートパスの開示 
中度
いいえ
はい
PRODSECBUG-2927
CVE-2021-28566
不適切な認証 
顧客データの不正変更  中度 
 
いいえ
はい PRODSECBUG-2931
CVE-2021-28567
クロスサイトスクリプティング(DOM ベース)
ブラウザーでの任意の JavaScript 実行
重要
はい いいえ PRODSECBUG-2918
CVE-2021-28556
不適切な認証
制限されたリソースへの不正アクセス
中度
いいえ
はい
PRODSECBUG-2935
CVE-2021-28563
安全な設計原則の違反
制限されたリソースへの不正アクセス
中度 
いいえ
はい
PRODSECBUG-2943
CVE-2021-28583
パストラバーサル
任意のファイルシステム書き込み
中度
いいえ
はい
PRODSECBUG-2957
CVE-2021-28584
不適切な入力検証
セキュリティ機能のバイパス
中度
いいえ
いいえ MC-39885
CVE-2021-28585
注意:

事前認証:この脆弱性は、資格情報がない場合に不正利用可能です。

必要な管理者権限:この脆弱性は、管理者権限を持つ攻撃者によってのみ不正利用可能です。

この文書で参照されている CVE の技術的な詳細は、MITRE および NVD サイトで公開されています。

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人の皆様に対し、アドビより厚く御礼を申し上げます。

  • Kien Hoang 氏(CVE-2021-28567)
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja)(CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

 Adobe

ヘルプをすばやく簡単に入手

新規ユーザーの場合